Boost OpenSSL是一个高性能异步HTTPS解决方案。它将最消耗CPU的计算过程剥离出来,避免在本地CPU上进行同步计算。通过异步代理系统发送给云端ASIC/FPGA卡构成的加速卡池进行计算,拥有任意扩容的算力,可以显著降低HTTPS业务对服务器CPU的压力。
高并发下HTTPS服务存在的问题
1.计算压力
高并发的HTTPS服务会消耗大量CPU资源,如SSL通讯中经常用到的RSA、DH等算法通常进行的轮次比较多的模幂计算,计算量比较大,对于CPU是一个很大的负担。以目前市面上常见的2048位密钥的RSA来说,一次正常HTTPS交互过程,RSA计算过程需要消耗整体性能的80%左右。
2.DDoS攻击防御难度大
随着越来越多的网络业务由明文HTTP转向加密HTTPS协议,针对HTTPS的DDoS攻击也呈快速增长趋势,包括针对SSL/TLS握手交互的攻击和针对HTTPS业务的攻击。由于处理HTTPS连接的巨大资源消耗,让HTTPS的DDoS攻击成本较低,危害性却较大。HTTPS的DDOS防护一直是业界的一个难题。
3.专用加速卡部署成本高
单机部署加速卡存在两个问题:1.需要对服务器软件进行异步通讯改造,同步模型下,加速卡的提升效果一般不超过30%;2.服务器较多的情况下费用偏高,且
大量的时间计算资源利用不充分,造成浪费。同时在证书升级等管理流程上工作量大。
Boost OpenSSL正是为了解决上述问题,它利用局域网、互联网上的异步加速卡池来实现解密运算,可以有效提高服务器HTTPS的抗压能力,同时降低部署成本。
高速运算
Boost OpenSSL将最消耗CPU的计算过程剥离出来,避免在本地CPU上进行同步计算。然后通过异步代理系统发送给云端ASIC/FPGA卡构成的加速卡池进行计算,拥有任意扩容的算力,可以显著降低HTTPS业务对服务器CPU的压力。
Boost OpenSSL异步代理计算架构
与传统的单机部署加速卡相比,一个加速卡池可以同时支持多台服务器,降低加速卡硬件部署成本。
Boost OpenSSL具备防御HTTPS DDOS 的能力,HTTPS DDOS防护是业界的一大难题,原因在于服务器的解密消耗远大于客户端。而使用Boost OpenSSL可以在遭受HTTPS攻击的情况下,极大降低服务器压力。
一个ASIC/FPGA 加速卡拥有50,000次/秒的RSA (2048位)操作,相当于5台双路Intel Xeon E5-2620 v2服务器(超线程开启,共24核)。
高安全性
服务器与云加速卡池之间的通讯采用升级版本SEAL高速序列密码算法,将SHA-1生成的S盒升级为更安全的国密ZUC算法。转为CPU优化的高速学列密码算法,可以在极低资源开销的情况下保证服务器与云加速卡池之间的通讯安全。
高稳定性
Boost OpenSSL仅介入HTTPS 握手阶段,对数据通讯网速无影响。Boost OpenSSL可以同时使用本机CPU和云加速卡池算力,在CPU压力增大到阈值后才自动启用云加速卡池。在云加速卡池无法连接的情况下,会自动切换卡池,在所有卡池无法连接的情况下,系统会使用CPU 完成计算,不会造成服务阻塞。
ASIC/FPGA 加速卡池
Boost OpenSSL可以接入公共云卡池,也支持部署自己的ASIC/FPGA 卡池,一个加速卡池可以同时为多台主机服务,在多地多台服务器的场景下可以显著降低加速卡硬件部署成本。
基于ASIC/FPGA加速卡的服务器(1-2U 标准大小)可部署在私有云环境中,支持多加速卡服务器均衡负载,支持多点分布式部署。
快速Docker部署
通过Docker 可以方便快捷的部署Boost OpenSSL版Nginx ,无需改动现有环境。Docker中的运行性能与原生部署相当。
Docker 环境与原生环境运算性能相当
HTTPS 私钥保护
对于安全性要求高的企业,可以利用Boost OpenSSL将SSL 密钥保存在私有云中集中管控,安全可控。无需上传证书到公共云服务器上即可部署HTTPS 服务。支持RSA、ECC、国密算法等多种主流 HTTPS 加密算法。
欢迎登陆www.boostopenssl.com申请测试。
